Im Kaspersky-Blog 'SecureList' besprechen Sicherheitsexperten gerade den nächsten bekannt gewordenen Cyper-Angriff. Die Operation wurde als 'Rocra', kurz für 'Red October', identifiziert.

Seit mindestens fünf Jahren infiltriert die als 'Roter Oktober' bezeichnete Spionage-Software unter anderem Rechner in Regierungsorganisationen, Forschungseinrichtungen, Militär und im Energiesektor. Die Spezialisten von Kaspersky Lab analysieren die Malware bereits seit einigen Monaten und haben als Hauptziel Osteuropa und Zentralasien ausgemacht. Doch auch Rechner in Westeuropa und Nordamerika sind betroffen. Die Schadsoftware sammelt sensible Daten, darunter Dokumente mit vertraulichen geopolitischen Inhalten, und schickt diese weiter. In der Komplexität kann 'Rocra' es mit 'Flame' aufnehmen, einer Spionagesoftware, die im letzten Jahr bekannt wurde und zudem mit 'Stuxnet' in Verbindung gebracht werden konnte.

So funktioniert 'Rocra'

Bisher haben die Spezialisten von Kaspersky herausgefunden, dass die Angreifen in den letzten fünf Jahren vor allem diplomatische Einrichtungen und Regierungsorganisationen überall auf der Welt im Fokus hatten. 'Rocra' hat eine einzigartige modulare Architektur aus schädlichen Erweiterungen, Modulen zum Datendiebstahl und so genannten 'Backdoo'-Trojanern. Die gewonnenen Informationen aus den bereits infizierten Netzwerken wurden für nachfolgende Attacken genutzt, zum Beispiel Passwörter und Netzwerklegitimationen.

Die gestohlenen Dokumente haben etwa 34 Dateiendungen. Dokumente mit Endungen, die mit 'acid' beginnen, deuten auf eine geschützte Software mit dem Namen Acid Cryptofiler hin, die von verschiedenen öffentlichen Einrichtungen genutzt wird, darunter die NATO und die EU.

Seit mindestens fünf Jahren infiltriert die als »Roter Oktober« bezeichnete Spionage-Software u.a. Rechner in Regierungsorganisationen, Forschungseinrichtungen, Militär und im Energiesektor.

© Kaspersky Lab

Um das Netzwerk der infizierten Geräte zu kontrollieren, nutzten die Angreifer eine C&C-Infrastruktur mit über 60 Domains und mehreren Servern in verschiedenen Ländern, darunter vorwiegend Deutschland und Russland. Letzten Endes dienten diese als Proxy-Server. Neben Arbeitsstationen nahmen die Angreifer auch andere Systeme wie Smartphones von Apple, Nokia und Windows-Phones sowie die Netzwerkinfrastruktur von Cisco ins Visier. Sie nutzten Sicherheitslücken wie CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) und CVE-2012-0158 (MS Word). Auch gelöschte Dateien von Wechseldatenträgern werden von Rocra gesammelt.

Infiziert wurden die Rechner über sogenannte Dropper-Trojaner: Sie verschicken zielgerichtete Spear-Phishing-Emails, in einem Fall eine Anzeige für ein Auto. Die Emails enthielten also speziell erstellte Exploits, die die oben genannten Sicherheitslücken von MS Office ausnutzten. Erstellt wurden die Exploits ursprünglich von anderen Angreifern, die es unter anderem auf militärische Ziele und den Energiesektor abgesehen hatten. Die eingebettete ausführende Datei wurde mit einem eigenen Code versehen. Interessant dabei: Der Dropper setzte während der Ausführung die verwendete System-Codepage kurzzeitig auf 1251 – das ermöglichte während der Programmausführung die Anzeige kyrillischer Schriftzeichen.

Angriff aus Russland?

Zahlreiche Spuren in den ausführenden Dateien und auch die Registrierungs-Daten der C&C-Server lassen auf einen Angreifer mit russisch-sprachiger Herkunft schließen. Außerdem waren die ausführenden Dateien bis zu der Entdeckung von Rocra unbekannt und wurden auch von den Spezialisten von Kaspersky Lab nicht bei Analysen vorangegangener Cyper-Angriffe entdeckt.